__sa__nya
16-01-2015, 05:12
Доброе время суток. Имеется сервер Windows SRV 2008R2 Std SP1. На нем с помощью Applocker делал ограничения по запуску исполняемых файлов на диске. Политику ограниченного использования программ не применял. Потребовалось установить новые программы. При запуске msi-файла начала выходить ошибка: Данная установка запрещена политикой, заданной системным администратором. И поехало.... Отключил службу "Удостоверение приложения" - все равно ошибка. Полностью удалил политики applocker, gpupdate, перезагрузка - все равно ошибка. Что делал дальше:
1. Создал в политиках Applocker правила по умолчанию для установщика Windows, создал правила для пути, разрешающие запуск msi-файлов на всех локальных дисках сервера - не помогло
2. При запуске msi-пакета с параметрами: msiexec /i msi-файл /lv* log-файл. Создается лог файл, по которому видно что установка не идет из-за политики SRP (но они не настроены, вложение srp_log)
3. Отключал антивирус
4. Создавал параметр HKLM\Software\Policies\Microsoft\Windows\Installer, DisableMSI = 0, EnableAdminTSRemote"=dword:00000001 там же смотрел DisablePatch - такого параметра не было, msi-файлы не запускались. Затем удалил DisableMSI и Enable AdminTSRemote
5. Создал политики SRP, Применение - "Всех пользователей, кроме локальны администраторов", уровень безопасности по умолчанию - "Не ограниченный". Дополнительно создал правила для пути для жестких дисков откуда запускаются msi-файлы, gpupdate, перезагрузка - не помогло
6. Удалил все сертификаты, связанные с Microsoft из "Сертификаты - текущий пользователь" - "Сертификаты, к которым нет доверия" - тоже в соответствии с рекомендациями, где-то вычитанными в интернете
7. Делал такую настройку в политике:
Нажмите Пуск > Выполнить
Введите gpedit.msc и нажмите Enter
Выберите Политика "Локальный компьютер" > Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Установщик Windows
Далее кликните "Отключение установщика Windows" > Включено
В выпадающем списке "Отключить установщик Windows" выберите Никогда
Нажмите Применить и закройте окно.
8. Заметил то, что установщики программ, которые уже установлены, запускаются.
- Что делать дальше, не знаю. Как можно решить проблему?
1. Создал в политиках Applocker правила по умолчанию для установщика Windows, создал правила для пути, разрешающие запуск msi-файлов на всех локальных дисках сервера - не помогло
2. При запуске msi-пакета с параметрами: msiexec /i msi-файл /lv* log-файл. Создается лог файл, по которому видно что установка не идет из-за политики SRP (но они не настроены, вложение srp_log)
3. Отключал антивирус
4. Создавал параметр HKLM\Software\Policies\Microsoft\Windows\Installer, DisableMSI = 0, EnableAdminTSRemote"=dword:00000001 там же смотрел DisablePatch - такого параметра не было, msi-файлы не запускались. Затем удалил DisableMSI и Enable AdminTSRemote
5. Создал политики SRP, Применение - "Всех пользователей, кроме локальны администраторов", уровень безопасности по умолчанию - "Не ограниченный". Дополнительно создал правила для пути для жестких дисков откуда запускаются msi-файлы, gpupdate, перезагрузка - не помогло
6. Удалил все сертификаты, связанные с Microsoft из "Сертификаты - текущий пользователь" - "Сертификаты, к которым нет доверия" - тоже в соответствии с рекомендациями, где-то вычитанными в интернете
7. Делал такую настройку в политике:
Нажмите Пуск > Выполнить
Введите gpedit.msc и нажмите Enter
Выберите Политика "Локальный компьютер" > Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Установщик Windows
Далее кликните "Отключение установщика Windows" > Включено
В выпадающем списке "Отключить установщик Windows" выберите Никогда
Нажмите Применить и закройте окно.
8. Заметил то, что установщики программ, которые уже установлены, запускаются.
- Что делать дальше, не знаю. Как можно решить проблему?